基于移动互联网科技论文共享平台数据的安全策略研究

2015年6月 第35卷第6期 现代情报 00135 信息资源开发与利用 基于移动互联网科技论文共享平台 数据的安全策略研究 卞成杰 下成杰 (盐城师范学院档案馆，江苏盐城224051) 摘要科技论文共享平台的数据具有数据来源多样、数据增量大和非法访问潜在性增加等特点，为了解决平台运行中 数据访问与数据操作存在的安全问题，通过从数据库设计与代码设计层面解决了数据访问层面的安全问题；从信息加密、数据 库服务器、系统的数据访问限定在设定权限范围内，并通过参数操作数据， 避免了数据被非法操作。通过合理的安全策略控制，有效地保障移动互联网科技论文共享平台实际投入使用后的安全。 关键词移动互联网；共享平台；角色权限；数据安全 0308212015060中图分类号2 文献标识码A 文章编号10080821(2015)06004306 2405 1，on es of O n to to of eb to of to is of it y of of 着智能手机、平板电脑的普及，移动互联网得到迅 速发展，同时，移动互联网信息安全问题也日显突出。据 瑞星2013年安全报告，移动互联网的信息安全工作还远未 及格，“重体验、轻安全”成为移动开发者们的通病。就 科技论文共享平台而言，注册用户的不断增加，涉及平台 的数据操作与数据访问会变得越来越频繁，其数据操作也 会变得越来越复杂，对于平台数据的数据安全控制就提上 了日程，在平台开发中需要将数据的安全性考虑进系统的 开发设计之中，只有将安全考虑进系统的设计之中，才能 得到符合用户需求的安全且稳定的平台，真正使系统为用 户创造优质安全的使用价值。 1科技论文共享平台的数据特点 如今，整个社会都在互联网化，而且正快速地移动互 联网化，传播和交互信息对于每个人都开始变得平等 ， 科技论文共享平台处于开放式的环境之中，伴随着用户数 的增加，数据量的增加，更多移动平台客户端的加入，其 收稿日期：20141208 基金项目：教育部科技发展中心网络时代的科技论文快速共事专项研究(2013)资助课题“基于用服务平台”(项目编号：2013119)研究成果之一。 作者简介：卞咸杰(1965一)，男，研究馆员，硕士，研究方向：信息资源管理，发表论文643 基于移动互联网科技论文共享平台数据的安全策略研究 015 5 数据的安全薄弱点就显得尤为突出，以下从数据来源、数 据量、数据访问潜在被攻击的可能性3个方面来论述开发 于互联网下的跨平台科技论文共享平台的数据特点： 11数据来源多样 科技论文共享平台为开放式平台，其数据来源从传统 的单一来源于期刊数据库，发展为除来源于管理员的新增， 还有网络用户的新增，网络用户又包含了传统的网络用户 与移动网络用户，这样对于数据的来源就非常的多样，在 网络用户数据进入服务器之后，管理员担任的审核工作就 变得常态化，要能够明确数据的传人格式、传人用户对应 可以传输何种类型的数据，这就需要在源头控制用户具备 何权限操作数据库。 12数据增量大 平台上线后，随着时间的推移，用户数量的不断增长， 上传的数据会呈数量级的增长，在用户的基本信息中包含 着部分用户的个人隐私信息，这部分信息的泄漏会关系到 平台的健康运行，如果本平台将用户的信息泄漏出去，泄 露的数据可能被黑客利用，造成财物损失、隐私泄漏、收 到更有针对性的电话推销和垃圾邮件_3 J，除此之外，平台 上存储了大量的最新的科技论文数据信息，不同用户上传 的论文数据如果被非法越权访问，也会对个人对应的论文 数据造成泄漏，从而极易引起部分科技成果被窃取使个人 的学术研究产生损失。 13非法访问潜在性增加 网络环境在改善的同时，伴随着网络技术的提高，黑 客的活动也变得常态化，论文共享平台的开发已采用了跨 平台的开发式开发技术，这就意味着数据访问的来源不仅 仅是传统的包含了移动客户端，而移动客户 端本身就包含了具有操作服务器数据的加上对于授权的权 限，这就增加了访问来源的不确定性，如果存在非法用户， 那攻击论文共享平台的几率就会比传统的平台增加不少， 非法访问数据库的概率潜在性大大增加。 2数据访问安全 科技论文共享平台的数据访问必须要控制在用户授权 范围内进行，这方面如果不能得到有效的控制，论文的质 量及论文的操作就会受到影响，主要从平台设计的角度考 虑，从数据库层面与代码层面控制正确的论文资源被事先 预定好的用户进行相应权限的操作。 21平台数据访问潜在的威胁 科技论文共享平台是一个开放的平台，这种开放不仅 体现在跨平台扩展上，更体现在相关服务的开放上(不同 的客户端可以调用这样平台 数据访问的来源也呈现出多样性。对科技论文共享平台数 -44 据访问构成不安全的因素很多，主要有3个方面：人为因 素(非授权用户利用页面分析工具提取出关键信息进而输 入其他猜测信息得到不属于自己的信息)、自然因素和不可 预知因素。其中人为因素是对科技论文共享平台数据安全 威胁最大的因素，其表现为信息资源被非合法的授权用户 访问，如有些云服务商的内部雇员通过云管理平台的特权 接口隐蔽地访问云数据，造成云数据泄露或损毁这样 造成的直接后果是普通用户可以访问其他用户的个人信息 及上传的论文资源，同时可以下载设定访问权限的私人资 源，这样会对平台资源的合法利用造成威胁，导致非授权 访问造成信息泄露_5 J。 22基于角色的数据访问安全控制设计 基于角色的访问控制是美国国家标准与技术研究所 (戴维和瑞克库恩于1992首次提出_6 J。它的核心 思想是引入角色的概念，并建立了用户和权限之间的间接 关系。通过授予用户的角色，用户角色获得特权。科技论 文共享平台的数据访问安全控制包括页面级和数据表级的 安全控制，对于页面级的安全控制主要目的是让每种角色 的用户只能访问对应权限的页面，并且不能通过数据地址 的形式而访问到不属于该用户授权角色的页面，进而得到 不属于自己权限的操作，为了能够对该漏洞进行控制，本 系统采用基于角色的访问控制，每种类型的用户会设定一 个角色，每种角色会加上授权的模块访问权限，从而确保 用户只能访问属于自己拥有角色的模块，具体的设计图如 图1所示。 对于表数据级的安全控制主要目的是控制核心数据只 能给定达到一定级别的用户访问，或者只能让数据给设定 的角色进行访问，同时可以根据登录用户的角色及用户的 个性化设置产生不同的搜索结果，这样只需要在科技论文 信息主表上新增访问控制字段，在做论文检索是加上对应 的控制条件即可完成对核心数据的访问权限控制，这样， 就可以让授权的用户访问数据，限制其他人的访问 J。 23数据访问安全的代码流程控制 有了科技论文共享平台的权限控制设计，需要在系统 开发代码上对数据访问权限进行控制，在进入管理首页面 时需要加载菜单展示，同时需要在每个页面上加上页面访 问权限控制，因为采用了基于角色的数据库设计，该系统 可以采用一个基类来完成对页面加载的权限控制，同时在 首页面加载时统一根据用户的角色所拥有的模块访问权限 进行加载，具体的数据模块加载流程控制如图2所示。 对于每个页面的加载原始都是继承的了便于对页面级的访问进行整体的权限控制，如： 用户访问模块的权限、登录日志、页面访问异常跳转等， 这样就可以对系统的异常访问做统一的监控与权限控制， 具体的做法是设计一个计如下： 2015年6月 第35卷第6期 现代情报 015 5 针对传人外在所有的涉 及数据访问与数据操作的地方采用存储过程，这样可以在 数据库层配置访问控制，如果发现传人了非法的题，则可以通过配置来避免攻击者利用漏洞来访问数据 库中的敏感信息。 33关键信息加密处理 针对部分关键数据在传输过程中被非法获取，需要对 其进行加密处理，在行消息的安全传递需 要满足如下条件消息的发送方能够确定消息只有预期的接 收方可以解密、消息的接收方可以确定消息是由谁发送的、 消息的接收方必须确认消息的完整性3个基本条件，对于 加密通常分为两种方式：对称加密和非对称加密，对于对 称加密，双方具有共享的密钥，如果用户数量多并不适宜， 对于非对称加密则密钥是由公开密钥私有密钥组成的密钥 对，用私有密钥进行加密，利用公开密钥可以进行解密_9 J， 但是由于公开密钥无法推算出私有密钥，所以公开的密钥 并不会损害私有密钥的安全，公开密钥无须保密，可以公 开传播，而私有密钥必须保密 1 。在科技论文共享平台中 对于关键信息采用了方式的特点是即使 用户非法获取了信息，也无法得到原始值从而对原始值进 行加工利用，另使用度与复杂度，复杂度过低也会使信息被解密。图3为科 技论文共享平台的加密处理情况： 4数据库服务器安全 图3平台加密处理资源访问流程 在科技论文共享平台开发及测试完成之后，需要将系 统部署到实际的生产服务器上，这样就设计到数据库服务 器的安全，数据库服务器安全包括3个层面的控制，首先 是用于用户部署数据的008的安全控制；其次是 平台所在服务器操作系统008的安全控制； 再次是平台所在的网络环境安全控制。 41数据库层面安全控制 科技论文共享平台数据库随着在线用户的增加，数据 库信息安全也会面临越来越大的挑战_1 ，表现在通过用户 名和密码来获取数据的访问及操作权限，用户名和密码的 泄漏主要有两个大的途径：其一是据库管理员) 进行恶意攻击是最容易的；其二是数据库本身密码设置简 单12。这就需要有一套数据库系统人为的管理机制来控制 非法用户进行数据库的访问，并且对于密码的复杂度需要 达到一定的强度。 不正确的用户权限分配，实际的开发用户可以登陆进 系统通过执行用存 储过程留下数据库执行的后门程序，这就需要对于任何不 同角色的具有数据库访问与操作权限的相关人员的数据库 代码进行检查与论证，同时对数据库服务器上存在的存储过程进行加密，从而使